Отчёт по лабораторной работе 1-A (НФИ-2)

Julia. Установка и настройка. Основные принципы.

Козлов В.П.

Гэинэ А.

Шуваев С.

Джахангиров И.З

Хватов М.Г.

Российский университет дружбы народов им. Патриса Лумумбы, Москва, Россия

Докладчик

  • Козлов В.П., Гэинэ А., Шуваев С., Джахангиров И.З, Хватов М.Г.
  • НФИбд-02-22
  • Российский университет дружбы народов

Выполнение лабораторной работы

Цель работы

Отработать сценарий действий нарушителя «Защита контроллера домена предприятия» на базе программного комплекса обучения методам обнаружения, анализа и устранения последствий компьютерных атак «Ampire».

Задание

  1. Обнаружить SQL-injection на PHP Server.

  2. Устранить уязвимость в контроллере NewsController.php.

  3. Устранить последствие (Web portal meterpreter). Убиваем сессию нарушителя.

  4. Обнаружить сессию нарушителя на узле администратора.

  5. Запустить защиту в реальном времени Windows defender, очистить регистр.

  6. Устранить последствие (Admin meterpreter). Убиваем сессию нарушителя.

  7. Обнаружить попытку подбора паролей на узле MS Active Directory.

  8. Изменить пароль к учетной записи администратора на более сложный.

  9. Устранить последствие (AD User). Удалить нового привилегированного пользователя.

На сайте ViPNet IDS NS просмотрели атакованные активы и суть атак

Атакованные ip-адреса

Добавили карточку инцидента “SQL Инъекция”

Карточка инцидента “SQL Инъекция”

Добавили карточку инцидента “Отключённый антивирус”

Карточка инцидента “Отключённый антивирус”

Добавили карточку инцидента “Слабый пароль сервера AD”

Добавили карточку инцидента “Слабый пароль сервера AD”

SQL Инъекция. Открыли контроллер NewsController, добавили простейший фильтр для id

NewsController.php

SQL Инъекция. Убиваем сессию нарушителя

Убиваем сессию

Отключённый антивирус. Заходим на узел администратора, удаляем запись из регистра

Удаление из регистра

Отключённый антивирус. Включаем защиту в настоящем времени

Включаем антиврус

Отключённый антивирус. Находим PID сессии с нарушителем, убиваем её

Сессия нарушителя устранена

Слабый пароль. Заходим на MS AD, меняем пароль администратора

Меняем пароль

Слабый пароль. В Active directory users and computers, удаляем нового пользователя

Удалили hacker’а

Выводы

Отраболи сценарий действий нарушителя «Защита контроллера домена предприятия» на базе «Ampire».